Новостной радар Anti-Malware.ru. Выпуск 1, ноябрь 2012

Основные события за минувшую информационную неделю рассматривает первый ноябрьский выпуск Новостного радара Anti-Malware.ru. Сегодняшние темы внушительны и серьезны: самовосстанавливающиеся вирусы, масштабные DDoS-атаки и перспективы трудоустройства для выпускников информационно-технологических специальностей. Кроме того, сегодня мы собрали для вас полный набор комментариев от компетентных экспертов.


Карта Новостного радара


Просмотреть Новостной радар - Выпуск 13 на карте большего размера 

 

Птица Феникс

Известно, что жизнь вредоносной программы сложна и опасна. Мало лишь проникнуть на компьютер жертвы и успеть выполнить свою подрывную задачу прежде, чем отреагирует антивирус; необходимо еще и обеспечить достаточно продолжительное присутствие в системе. Иначе говоря, никакой уважающий себя резидентный вирус не обходится ныне без средств борьбы с защитными программами, будь они активные или пассивные. О втором случае мы рассказывали неделю назад, транслируя новость о троянском коне GBPBoot.

Внимание к этой инфекции привлек отечественный разработчик антивирусов Dr. Web. По словам его экспертов, сей продукт оснащен довольно неплохой системой самовосстановления, которая позволяет ему воскресать снова и снова после недостаточно полного удаления. Для этих целей инфекция изменяет загрузочную запись жесткого диска и при каждом последующем запуске компьютера проверяет саму себя на целостность; если каких-либо из ее компонентов не хватает, они тщательно реставрируются на основании данных из установочного архива. Архив же хранится в конце подходящего для этих целей раздела диска, вне файловой системы. Сначала программа перезаписывает исполняемый файл Проводника Windows, а затем он инициирует повторное заражение системы, умножая тем самым все усилия антивирусного ПО на ноль. Процесс может быть бесконечен, особенно если антивирус не обучен обнаруживать признаки инфекции в загрузочном секторе.

«Об этом семействе еще в мае писал BitDefender в своем блоге», - отмечает эксперт Anti-Malware.ru Василий Бердников. – «Для многих антивирусных продуктов такая вредоносная программа действительно вызовет проблемы с лечением, но это скорее из-за слабых механизмов лечения, реализованных в большинстве антивирусов (это можно видеть по недавнему тесту на лечение активного заражения, проведенному Anti-Malware.ru). Для успешного лечения достаточно иметь детект на файлы и mbr. Но последний еще нужно заблокировать на запись при лечении, чтобы malware его не заразила в ходе завершения работы системы».

 

Налетай, пока не расхватали

Интернет-портал Dice.com опубликовал очередной отчет о востребованности специалистов различной квалификации. Оказалось, что наиболее высоким спросом среди работодателей в настоящее время пользуются защитники информации: в общей сложности по состоянию на 1 октября сего года на ресурсе было опубликовано почти две тысячи вакансий по этому направлению. Аналитики портала объясняют это тем, что компании самого различного уровня испытывают потребность в эффективной борьбе с информационными угрозами и поэтому ищут специалистов, способных сохранить в неприкосновенности важные данные и сведения.

Надо заметить, что подобная информация появляется в новостных лентах не впервые. На фоне довольно высокого уровня безработицы среди технических работников информационная безопасность остается одной из немногих относительно стабильных «гаваней», где сотрудникам гарантированы востребованность и достойный уровень оплаты труда. Текущее состояние так называемого ландшафта угроз, в свою очередь, не дает поводов сомневаться в том, что аналогичная ситуация сохранится и в дальнейшем: разнообразные риски от года к году показывают лишь рост (за некоторыми исключениями, которые, впрочем, слабо влияют на общую картину).

«Интерес к профессионалам в ИБ подогревается сложившейся ситуацией на рынке киберзащиты. Даже топ-менеджеры лидеров крупных и инновационных компаний попадаются на краже данных, составляющих коммерческую тайну, для перепродажи», - подчеркивает эксперт Anti-Malware.ru Виталий Янко. – «Покушения на деактивацию жизнеобеспечивающих ИТ-систем, влияющих на целые национальные экономики, как мы видим на примере Ирана, тоже нередки. Опыт по защите контуров организаций от вторжения и противодействию утечкам данных пригодится всегда. Ну, а про конкуренцию в индустрии разработки защитного и защищенного ПО, наверное, на нашем портале даже не нужно повторяться».

 

Ионная пушка

Возрастает эффективность деятельности индивидуумов и группировок, которые занимаются стрельбой из вышеупомянутого орудия. Согласно отчету, который опубликовала на этой неделе компания Prolexic Technologies, современная атака с целью вызвать отказ в обслуживании может достигать мощности в 20 Гбит в секунду – еще сравнительно недавно это было труднодостижимым показателем, ныне же – едва ли не норма. Количество DDoS в сравнении с предыдущим кварталом, по данным Prolexic, сократилось, равно как и средняя их продолжительность, однако годовая статистика показывает удвоение числа атак этого рода.

В отчете также указано, что наиболее популярными у злоумышленников остаются сетевой и транспортный уровни сетевого взаимодействия – в сумме на их долю пришлось 80% нападений. Остальные 20% соответствуют прикладному уровню. Атаки при этом стали разнообразнее: если в прошлом году компания выделяла 9 их разновидностей, то сейчас – уже 18. Основной поток вредоносного трафика в настоящее время идет из Китая и США (35% и 27% соответственно).

«Тенденции развития DDoS атак и статистика, представленная в отчете компании Prolexic Technologies, во многом коррелируется с нашей, но цифры в нашем отчете много меньшие», - говорит руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского» Алексей Афанасьев. – «Причина проста: сегодня наши клиенты использующие Kaspersky DDoS Prevention в большинстве своем – российский бизнес, и пользование Интернетом как средой, на основе которой строятся бизнес-процессы, в России много меньше, чем у крупных международных компаний, клиентов Prolexic Technologies. Думаю, что с приходом больших денег и крупного бизнеса в российский Интернет более крупные атаки не заставят себя ждать, а пока злоумышленникам хватает и 100 Мбит, чтобы успешно провести атаку на небольшой интернет-магазин, и если вдруг она не удается, то атакующий переходит к другой цели».

 

О чем пишут хакеры

Компания Imperva провела исследование неназванных хакерских форумов, чтобы установить, какие темы наиболее популярны в среде злоумышленников. Результаты были сведены в отчет под названием Monitoring Hacker Forums.

Выяснилось, в частности, что взломщики наиболее активно обсуждают DDoS-атаки и SQL-инъекции. Это тем более любопытно, что на борьбу с последними расходуется, по расчетам экспертов, от силы пять процентов бюджетов, выделяемых компаниями на борьбу с информационными угрозами. Также в фокус внимания хакеров попадают социальные сервисы – Facebook и Twitter, причем на теневом рынке уже имеется соответствующий сектор (например, идет активная торговля «лайками» или читателями). Немало внимания уделяется «образовательным программам»: обучение деятельности взломщика, советы начинающим злоумышленникам и так далее.

Вообще, судя по всему, заметное место в хакерских дискуссиях отводится коммерции. На форумах публикуются предложения о «работе», рекламные объявления, продаются разнообразные «товары» вплоть до ботнетов. Впрочем, надо учитывать, что Imperva обозревала исключительно зарубежные форумы; было бы любопытно узнать, сильно ли от них отличаются отечественные аналоги.

«Тема действительно интересная. Хакерское сообщество существует давно и развивается. И темы, которые это сообщество обсуждает, должны активно интересовать всех, кто реально занимается информационной безопасностью», - уверен эксперт Anti-Malware.ru Алексей Гребенюк. – «В частности, вопросы их внутреннего обучения, освоения практик технических атак и применения социальной инженерии должны давать основания для модернизации внешних периметров и изменении методик работы с персоналом. Сама статистика дает много интересного - смещение вектора интереса хакерского сообщества в стороны атак форумов и веб-ресурсов было замечено давно и обсуждается, а вот атаки на приложения - это еще недавно казалось уходящим в прошлое. В целом я даже хочу поделиться этим материалом с нашей группой пентестеров».

 

Без вас обойдемся

Американское министерство обороны испытывает проблемы с проектом, в рамках которого предполагалось наладить обмен конфиденциальной информацией между государственными ведомствами и коммерческими организациями. Сообщается, что примерно треть крупных компаний, участвовавших в его работе, приняли решение выйти из проекта, мотивировав свои действия высокими ресурсозатратами. Впрочем, у Пентагона еще есть шанс восстановить статус-кво: четыре из пяти отщепенцев сообщили, что могут вернуться – если условия проекта будут изменены в их пользу.

Суть проблемной инициативы состоит в своеобразном обмене опытом обеспечения информационной безопасности между крупным бизнесом и государством. Поскольку в Соединенных Штатах подавляющее большинство стратегически важных активов находится в частных руках, государству необходимо было наладить с ними взаимодействие – передавать и получать конфиденциальные данные об инцидентах, уязвимостях и прочих рисках. Поначалу все шло успешно, но впоследствии проект принялся буксовать.

«Сами того не желая, по ходу дела мы вляпались в политику, а ведь наш ресурс вне политики?» - задается вопросом эксперт Anti-Malware.ru Михаил Орешин. – «Потратив некоторое время на изучение вопроса, обратил внимание, что основная (если бы изучал глубже, то скорее бы написал «вся»)  критика идет от республиканцев, а сам Пентагон вроде как до недавнего времени, еще летом, уверял, что 1000 компаний готовы присоединиться к программе обмена данных о киберугрозах и текущих атаках. С другой стороны, внятных комментариев от демократов я не нашел, кроме нескольких упоминаний о сложностях технологического характера, которые в целом преодолимы. В этой связи заявление 4 из 5 компаний выглядит как «После выборов посмотрим» - а там как раз в начале 2013 будет рассматриваться вопрос о секвестировании годового военного бюджета, куда потенциально попадают затраты и на информационную безопасность, и, вполне возможно, и проект DIB. После этого даже не вижу смысла рассуждать о полезности и бесполезности данной системы в целом, хотя мое мнение – что она нужна. Но делать вывод о крупном неуспехе Пентагона тоже не приходится, выборы все же. Как говорит один знакомый юрист: «Прости Миша, но это документ а-ля прочтение конституции РФ устами генерала Макашова».

***

Такова была последняя новость этого обзора. Остается лишь напомнить: не забудьте вернуться к нам ровно через неделю, чтобы ознакомиться с новым выпуском Новостного радара.

Удачных выходных!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru